SELinuxねぇ……

@ITSELinuxの記事 が出ていたので、前に社内で評価してみたときのことを思い出した。

ゼロデイな攻撃が増えてるとかワームの進歩とかを耳にする今日この頃では、そんなにクリティカルなシステムでなくても万一のプロセス乗っ取りや権限昇格に対応する必要はあると思う。そんなときの切り札がSELinuxみたいなセキュアOSな訳だけれども、でも、うちみたいに小規模で、サーバーの台数も足りてない体制ではどうにも使いづらい。

SELinuxをサポートするディストリビューションでは当然のことながら、ディストリビューション付属のアプリケーションについては適切に動作するようにポリシー設定してくれている。だからこれらを普通に使っている分には問題ない。でも、何かサポートされていないアプリケーションを自前でmakeして入れたり、何か特殊な設定をしたりすると、適切な設定をするのが難しいのだ。内部で呼んでいるシステムコールに依存したり、色々で、アプリケーションの動作を考えればある程度は想像できるけれども、結局最後はPassivateモードにしてエラーログを元に細かいチューンをするしかない。特に、プロブライエタリだったりしてソースコードが入手不能なソフトウェアだと、本当にポリシー設定の最後は試行錯誤なのだ。

システムが十分に冗長だったりして、本番と全く同じ構成のテストサーバーが用意できるならそっちで試行錯誤できるけれども、何しろ、サーバーの台数が足りなくて、テストサーバーは全プロジェクトで1台を共用している有様だもの。まさか稼働中の唯一の本番サーバーでそんな真似はできないし。最近流行の仮想化という手もあるのかもしれないけれど、マシンスペック的にきつい。

SELinuxの商用のポリシー設定ツールもあるらしいけれども、高いし、どの程度自動化されているのかはよく分からない。商用サポートを受けるのも割に合わなそう。結局うちみたいにハードウェア資産も人員も予算も足りなくて、その元でディストリビューション付属のアプリケーションだけじゃ話にならない変なシステムばっかり作っているような体制では、SELinuxを使用するのは難しいものがある。

お金があればねぇ、悪くないんだけどねぇ。……というのがうちで社内評価した結果でした。SELinuxは使用せずに、まめにパッチをあてるとか、ファイアーウォール・IDSをしっかりするとか、そんな感じで対処してます。